CN104967513B - 具有多重安全属性的基于身份的多接收者环签密方法 - Google Patents

Abstract

本发明公开了一种具有多重安全属性的基于身份的多接收者环签密方法，用于解决现有基于身份的环签密方法安全性差的技术问题。技术方案是通过参数设置、密钥提取、匿名签密、解签密以及公开验证等步骤，在签密阶段将混合加密方法应用到签密中，利用求解对称密钥的困难问题，确保方法具有前向安全性；采用环签密和拉格朗日插值函数，将包括发送者和多个接收者的用户身份信息完全隐藏起来，有效保障了用户隐私；同时采用双线性对运算，确保同时具有公开验证性和解密公平性等多种安全属性。

Description

具有多重安全属性的基于身份的多接收者环签密方法

技术领域

本发明涉及一种基于身份的签密方法，特别是涉及一种具有多重安全属性的基于身份的多接收者环签密方法。

背景技术

大多数现有的基于身份的签密方法还不够完善，不具备多种安全属性，如用户身份的隐私性、解密不公平性、前向安全性以及公开验证性等，在不安全的网络环境中极易遭受各种攻击，安全问题已成为签密技术广泛应用面临的主要挑战。

文献“An Identity Based Ring Signcryption Scheme with PublicVerifiability,Security and Cryptography(SECRYPT),Proceedings of the2010International Conference on IEEE,2010,1-10”设计了一个基于身份的环签密方法，该方法使用多个双线性对，解决了部分方法不能抵抗适应性选择密文攻击、存在性不可伪造攻击和匿名攻击的问题，但是，由于设计的局限性该方法只是面向一对一的网络环境，对于多用户网络环境执行效率不高。因此，针对目前多用户网络环境，提出一个能适用于不安全的局域网环境中的具有多重安全属性(发送者和接受者的匿名性、前向安全性、解密公平性和公开验证性)的基于身份的多接收者环签密方法非常必要。

发明内容

为了克服现有基于身份的环签密方法安全性差的不足，本发明提供一种具有多重安全属性的基于身份的多接收者环签密方法。该方法通过参数设置、密钥提取、匿名签密、解签密以及公开验证等步骤，在签密阶段将混合加密方法应用到签密中，利用求解对称密钥的困难问题，确保方法具有前向安全性；采用环签密和拉格朗日插值函数，将包括发送者和多个接收者的用户身份信息完全隐藏起来，有效保障了用户隐私；同时采用双线性对运算，确保同时具有公开验证性和解密公平性等多种安全属性。

本发明解决其技术问题所采用的技术方案是：一种具有多重安全属性的基于身份的多接收者环签密方法，其特点是采用以下步骤：

1.参数设置。

给定一个秘密参数k，k是一个长整数，由私钥生成中心执行下列操作：

①设G₁和G₂分别是阶数为q＞2^k的加法群和乘法群，q为大素数，P为G₁的一个生成元；

②选择一个随机数P₀∈_RG₁，并选取一个随机数s∈_RZ_q ^*作为主密钥，设P_pub＝sP为系统公钥；

③选择安全的对称加解密算法对(E,D)；

④选择双线性映射

⑤选择六个哈希函数：下式中|M|表示将要传输的明文消息的二进制长度，

H₁：{0,1}^*→G₁，H₂：G₂→{0,1}^*，H₃：{0,1}^|M|×G₁→_RZ_q ^*，

H₄：{0,1}^|M|×G₁×G₁×G₁×{0,1}^*→_RZ_q ^*，

H₅：G₁×G₂×{0,1}^|M|→{0,1}^|M|，H₆：{0,1}^|M|×G₁×G₁×{0,1}^*→G₁；

⑥系统公开参数为

2.密钥提取。

输入用户i的身份ID_i，私钥生成中心计算用户的公私钥：公钥Q_i＝H₁(ID_i)和私钥D_i＝sQ_i然后通过安全信道将私钥发送给用户；

3.匿名签密。

L'＝{ID'₁,ID'₂,…,ID'_n}为实际签密者选择的n个接收者的身份集合。选择一个用户身份集合L＝{ID₁,ID₂,…,ID_t}，该集合中包含实际签密者的身份ID_S，即ID_S∈L，且输入系统公开参数params、消息M，签密者执行下列步骤：

①加密部分：

a)选择随机参数α∈_RZ_q ^*，计算参数U＝αP，然后计算

θ＝H₂(ω) ⑴

得到θ为对称密钥，计算σ₁＝E_θ(M)，对消息进行加密；

b)使用n对数(x₁,y₁)，(x₂,y₂)，…，(x_n,y_n)，构造拉格朗日函数f_j(x)满足x_j是f_j(x)＝y_j的解，这里对于j＝1,2,…,n都有x_j＝H₃(ID'_j)，y_j＝α(P₀+Q'_j)，其中Q'_j为接收者ID'_j的公钥；

c)对于j＝1,2,…,n，计算f_j(x)＝Π_{1≤j≠j'≤n}(x-x_j)/(x_j-x_j')＝τ_j,1+τ_j,2x+…+τ_{j, n}x^n-1，其中τ_j,1,τ_j,2,…,τ_j,n∈Z_q ^*；对于j＝1,2,…,n，计算T_j＝∑_j'＝1τ_j,j'y_j，T＝∑T_j。

②环签名部分：

a)对于非实际签密者i＝1,2,…,t，i≠S，选择R_i∈_RG₁，计算

h_i＝H₄(σ₁,R_i,U,T,L) ⑵

b)对于实际签密者i＝S，选择x_S∈_RZ_q ^*，计算R_S＝x_SQ_S-∑_i≠S(R_i+h_iQ_i)，h_S＝H₄(σ₁,R_S,U,T,L)，计算R＝∑R_i；

c)计算

σ₂＝H₅(R,ω,M) ⑶

S₁＝(x_S+h_S)D_S ⑷

S₂＝αH₆(σ₁,R,T,L) ⑸

最后得到密文为C＝<σ₁,σ₂,S₁,S₂,U,R₁,…,R_t,T,T₁,…,T_n,L>；

4.解签密。

输入密文C、系统公开参数params、接收者身份信息L'＝{ID'₁,ID'₂,…,ID'_n}，每个接收者ID'_j使用自己的私钥D'_j进行如下计算来解密密文C。

①计算

δ_j＝T₁+x_jT₂+…+(x_j ^n-1mod q)T_n ⑹

其中x_j＝H₃(ID'_j)；

②将⑹式的值代入下式，计算

通过公式⑴来还原对称密钥θ'＝H₂(ω')，并进行解密计算M'＝D_θ'(σ₁)，得到一个消息值M'；

③将得到的消息M'带入公式⑶中，检查σ₂＝H₅(R,ω',M')是否成立，若成立，则认为M'＝M；若不成立，则输出“⊥”，说明签名值是无效的；

5.公开验证。

接收者或者任意的第三方获得密文后，通过该算法验证发送者身份的可靠性。

①对于i＝1,…,t，通过公式⑵，恢复出h_i＝H₃(σ₁,R_i,U,T,L)，计算H＝H₆(σ₁,R,T,L)；

②利用⑷式、⑸式中得到的S₁和S₂判断⑻式、⑼式是否成立：

若⑻式、⑼式皆成立，则认为签名者身份合法、可靠，签密值具有真实性；否则认为该签密无效。

本发明的有益效果是：该方法通过参数设置、密钥提取、匿名签密、解签密以及公开验证等步骤，在签密阶段将混合加密方法应用到签密中，利用求解对称密钥的困难问题，确保方法具有前向安全性；采用环签密和拉格朗日插值函数，将包括发送者和多个接收者的用户身份信息完全隐藏起来，有效保障了用户隐私；同时采用双线性对运算，确保同时具有公开验证性和解密公平性等多种安全属性。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明具有多重安全属性的基于身份的多接收者环签密方法的流程图。

具体实施方式

名词解释。

PKG：私钥生成中心；

k：用户选择的秘密参数，为一个长整数；

G₁：阶数为q的加法群；

G₂：阶数为q的乘法群；

q：大素数，群的阶数，表示群中仅含有q个元素；

P：G₁的一个生成元；

P₀：加法群G₁中的一个随机数；

s：整数乘法群中的一个随机数；

Z_q ^*：模为q的整数乘法群；

P_pub：系统公钥；

(E,D)：对称加解密算法对；

双线性映射；

params：参数集合；

H₁：单向散列函数，可将任意长度的二进制字符串计算成阶为q的加法群中的散列值；

H₂：单向散列函数，可将阶为q的加法群中的字符串计算成固定长度的二进制字符串；

H₃：单向散列函数，可将明文消息字符串与阶为q的加法群中的字符串计算成固定长度的模为q的整数乘法群中散列值；

H₄：单向散列函数，可将明文消息字符串与多个阶为q的加法群中的字符串以及任意长度的二进制字符串计算成固定长度的模为q的整数乘法群中散列值；

H₅：单向散列函数，将明文消息字符串与阶为q的加法群、阶为q的乘法群中的字符串计算成明文消息长度的二进制字符串；

H₆：单向散列函数，可将明文消息字符串与两个阶为q的加法群中的字符串以及任意长度的二进制字符串计算成固定长度的阶为q的加法群中散列值；

|M|：表示消息M的二进制长度；

ID_i：用户i的身份信息，表示发送者的身份信息；

ID'_j：用户j的身份信息，表示接收者的身份信息；

ID_S：实际签密者的身份信息；

Q_i：用户i的公钥，一般表示发送者方的公钥；

Q'_j：用户j的公钥，一般表示接收者方的公钥；

D_i：用户i的私钥，一般表示发送者方的私钥；

D'_j：用户j的私钥，一般表示接收者方的私钥；

L：包含实际签密者的t个发送者的身份集合，包括ID₁,ID₂,…,ID_n；

L'：包含实际签密者选择的n个接收者的身份集合，包括ID'₁,ID'₂,…,ID'_n；

M：明文消息；

α：整数乘法群中随机选择的参数；

θ：用于加解密的对称密钥；

U：计算得到的部分密文；

ω：计算得到的参数，参与计算对称密钥；

σ₁：使用对称加密算法加密的消息值；

σ₂：使用参数R,ω,M和第五种哈希函数计算得到的签名值，是密文的一部分；

x_j：使用接收者身份信息计算得到的哈希值；

y_j：使用接收者公钥等参数计算得到的参数，与x_j一同共构成n对数构造拉格朗日函数；

f_j(x)：拉格朗日插值函数，用于隐藏接收者的身份信息；

τ_j,1：含有接收者信息的参数，接收者可以用该参数获得解密的关键信息；

T_j：由τ_j1和y_j计算得到的参数，作为密文的一部分，用于隐藏接收者的身份信息；

T：所有T_j之和；

R_i：对于不是实际签密者计算时在整数乘法群中随机选择的参数；

h_i：非实际签密者使用参数σ₁,R_i,U,T,L，计算得到的哈希值；

x_S：实际签密者计算时在整数乘法群中随机选择的参数；

R_S：实际签密者计算得到的参数；

h_S：实际签密者使用参数σ₁,R_s,U,T,L，计算得到的哈希值；

R：包含实际签密者在内的所有发送者的参数R_i和R_S之和；

S₁：包含实际签密者私钥等参数计算得到的值，是密文的一部分；

S₂：使用第六种哈希函数计算得到的参数值，是密文的一部分；

C：密文；

δ_j：使用密文计算得到的解密参数；

ω'：计算对称密钥的参数；

θ'：利用密文恢复的对称密钥；

M'：解签密得到的明文消息；

mod：求余操作符；

∩：表示两个集合的交集，即集合中相同的部分；

表示集合为空；

⊥：表示无效的符号；

∈：表示在一个集合中选取的符号；

∈_R：表示在一个集合中任意选取的符号。

下面结合图1详细描述本发明具有多重安全属性的基于身份的多接收者环签密方法的具体步骤：

1.参数设置。

给定一个秘密参数k(k是一个长整数)，由PKG(Private Key Generator，私钥生成中心)执行下列操作：

①设G₁和G₂分别是阶数为q＞2^k(q为大素数)的加法群和乘法群，P为G₁的一个生成元；

②选择一个P₀∈_RG₁，随机数s∈_RZ_q ^*作为主密钥，设P_pub＝sP为系统公钥；

③选择安全的对称加解密算法AES；

④选择双线性映射

⑤选择六个哈希函数：下式中|M|表示将要传输的明文消息的二进制长度，H₁：{0,1}^*→G₁，H₂：G₂→{0,1}^*，H₃：{0,1}^|M|×G₁→_RZ_q ^*，H₄：{0,1}^|M|×G₁×G₁×G₁×{0,1}^*→_RZ_q ^*，H₅：G₁×G₂×{0,1}^|M|→{0,1}^|M|，H₆：{0,1}^|M|×G₁×G₁×{0,1}^*→G₁；

⑥系统公开参数为

2.密钥提取。

输入用户i的身份ID_i∈{0,1}^*，PKG计算用户的公私钥：公钥Q_i＝H₁(ID_i)和私钥D_i＝sQ_i然后通过安全信道将私钥发送给用户；

3.匿名签密。

L'＝{ID'₁,ID'₂,…,ID'_n}为实际签密者选择的n个接收者的身份集合。选择一个用户身份集合L＝{ID₁,ID₂,…,ID_t}，共同构造一个发送者环，该集合中包含实际签密者的身份ID_S，即ID_S∈L，且两个集合中无相同元素；输入系统公开参数params、消息M，签密者执行下列步骤完成该算法：

①加密部分：

a)选择随机参数α∈_RZ_q ^*，计算参数U＝αP，然后计算

θ＝H₂(ω) ⑴

得到θ为对称密钥，通过对称加密算法AES中的加密模块来加密消息σ₁＝E_θ(M)；

b)使用n对数(x₁,y₁)，(x₂,y₂)，…，(x_n,y_n)，构造拉格朗日函数f_j(x)满足x_j是f_j(x)＝y_j的解，这里对于j＝1,2,…,n都有x_j＝H₃(ID'_j)，y_j＝α(P₀+Q'_j)，其中Q'_j为接收者ID'_j的公钥；

c)对于j＝1,2,…,n，计算f_j(x)＝∏_{1≤j≠j'≤n}(x-x_j)/(x_j-x_j')＝τ_j,1+τ_j,2x+…+τ_{j, n}x^n-1，其中τ_j,1,τ_j,2,…,τ_j,n∈Z_q ^*；对于j＝1,2,…,n，计算T_j＝∑_j'＝1τ_j,j'y_j，T＝∑T_j。

②环签名部分：

a)对于非实际签密者i＝1,2,…,t，i≠S，选择R_i∈_RG₁，计算

h_i＝H₄(σ₁,R_i,U,T,L) ⑵

b)对于实际签密者i＝S，选择x_S∈_RZ_q ^*，计算R_S＝x_SQ_S-∑_i≠S(R_i+h_iQ_i)，h_S＝H₄(σ₁,R_S,U,T,L)，计算R＝∑R_i；

c)计算

σ₂＝H₅(R,ω,M) ⑶

S₁＝(x_S+h_S)D_S ⑷

S₂＝αH₆(σ₁,R,T,L) ⑸

最后得到密文为C＝<σ₁,σ₂,S₁,S₂,U,R₁,…,R_t,T,T₁,…,T_n,L>；

4.解签密。

输入密文C、系统公开参数params、接收者身份信息L'＝{ID'₁,ID'₂,…,ID'_n}，每个接收者ID'_j使用自己的私钥D'_j进行如下计算来解密密文C。

①计算

δ_j＝T₁+x_jT₂+…+(x_j ^n-1mod q)T_n ⑹

其中x_j＝H₃(ID'_j)；

②将⑹式代入⑺式，计算

通过公式⑴来恢复对称密钥θ'＝H₂(ω')，并使用对称加密算法AES中的机密模块进行解密计算M'＝D_θ'(σ₁)，得到一个消息值M'；

③将得到的消息M'带入公式⑶中，检查σ₂＝H₅(R,ω',M')是否成立，若该等式成立，则认为M'＝M；若不成立，则输出“⊥”，说明签名值是无效的；

5.公开验证。

接收者或者任意的第三方获得密文后，通过该算法验证发送者身份的可靠性。

③对于i＝1,…,t，通过公式⑵，恢复出h_i＝H₃(σ₁,R_i,U,T,L)，计算H＝H₆(σ₁,R,T,L)；

④利用⑷式、⑸式中得到的S₁和S₂判断下面两个公式是否成立：

若⑻式、⑼式皆成立，则认为签名者身份合法、可靠，签密值具有真实性；否则认为该签密无效。通过上述签密过程，发送者和接收者之间实现了安全认证和消息的保密通信，保证了消息在不安全的局域网环境中的匿名广播。

Claims (1)

1.一种具有多重安全属性的基于身份的多接收者环签密方法，其特征在于包括以下步骤：

1.参数设置；

给定一个秘密参数k，k是一个长整数，由私钥生成中心执行下列操作：

①设G₁和G₂分别是阶数为q＞2^k的加法群和乘法群，q为大素数，P为G₁的一个生成元；

②选择一个随机数P₀∈_RG₁，并选取一个随机数s∈_RZ_q ^*作为主密钥，设P_pub＝sP为系统公钥；其中，P₀是加法群G₁中的一个随机数，G₁是阶数为q的加法群，Z_q ^*是模为q的整数乘法群；

③选择安全的对称加解密算法对(E,D)；

④选择双线性映射ê:G₁×G₁→G₂；

⑤选择六个哈希函数：下式中|M|表示将要传输的明文消息的二进制长度，

H₁：{0,1}^*→G₁，H₂：G₂→{0,1}^*，H₃：{0,1}^|M|×G₁→_RZ_q ^*，

H₄：{0,1}^|M|×G₁×G₁×G₁×{0,1}^*→_RZ_q ^*，

H₅：G₁×G₂×{0,1}^|M|→{0,1}^|M|，H₆：{0,1}^|M|×G₁×G₁×{0,1}^*→G₁；

⑥系统公开参数为params＝<G₁,G₂,ê,P,P₀,P_pub,H₁,H₂,H₃,H₄,H₅,H₆,q>；其中，H₁,H₂,H₃,H₄,H₅,H₆均表示单向散列函数；

2.密钥提取；

输入用户i的身份ID_i，私钥生成中心计算用户的公私钥：公钥Q_i＝H₁(ID_i)和私钥D_i＝sQ_i然后通过安全信道将私钥发送给用户；

3.匿名签密；

L'＝{ID'₁,ID'₂,…,ID'_n}为实际签密者选择的n个接收者的身份集合；选择一个用户身份集合L＝{ID₁,ID₂,…,ID_t}，该集合中包含实际签密者的身份ID_S，即ID_S∈L，且输入系统公开参数params、明文消息M，签密者执行下列步骤：

①加密部分：

a)选择随机参数α∈_RZ_q ^*，计算参数U＝αP，然后计算

θ＝H₂(ω) (1)

得到θ为对称密钥，计算σ₁＝E_θ(M)，对消息进行加密；

b)使用n对数(x₁,y₁)，(x₂,y₂)，…，(x_n,y_n)，构造拉格朗日函数f(x)满足x_j是f_j(x)＝y_j的解，这里对于j＝1,2,…,n都有x_j＝H₃(ID'_j)，y_j＝α(P₀+Q'_j)，其中Q'_j为接收者ID'_j的公钥；x_j是使用接收者身份信息计算得到的哈希值；y_j是使用接收者公钥等参数计算得到的参数，与x_j一同共构成n对数构造拉格朗日函数；

c)对于j＝1,2,…,n，计算f_j(x)＝Π_{1≤j≠j'≤n}(x-x_j)/(x_j-x_j')＝τ_j,1+τ_j,2x+…+τ_j,nx^n-1，其中τ_j,1,τ_j,2,…,τ_j,n∈Z_q ^*；对于j＝1,2,…,n，计算T_j＝∑_j'＝1τ_j,j'y_j，T＝∑T_j；其中，f_j(x)是拉格朗日插值函数，用于隐藏接收者的身份信息；τ_j，1、τ_j，2、τ_j，n是含有接收者信息的参数，接收者用该参数获得解密的关键信息；T_j是由τ_j,1和y_j计算得到的参数，作为密文的一部分，用于隐藏接收者的身份信息；T是所有T_j之和；

②环签名部分：

a)对于非实际签密者i＝1,2,…,t，i≠S，选择R_i∈_RG₁，R_i为对于不是实际签密者计算时在整数乘法群中随机选择的参数，计算

h_i＝H₄(σ₁,R_i,U,T,L) ⑵

b)对于实际签密者i＝S，选择x_S∈_RZ_q ^*，计算R_S＝x_SQ_S-∑_i≠S(R_i+h_iQ_i)，h_S＝H₄(σ₁,R_S,U,T,L)，计算R＝∑R_i；

c)计算

σ₂＝H₅(R,ω,M) ⑶

S₁＝(x_S+h_S)D_S ⑷

S₂＝αH₆(σ₁,R,T,L) ⑸

最后得到密文为C＝<σ₁,σ₂,S₁,S₂,U,R₁,…,R_t,T,T₁,…,T_n,L>；其中，U是计算得到的部分密文；ω是计算得到的参数，参与计算对称密钥；σ₁是使用对称加密算法加密的消息值；h_i是非实际签密者使用参数σ₁,R_i,U,T,L，计算得到的哈希值；x_S是实际签密者计算时在整数乘法群中随机选择的参数；R_S是实际签密者计算得到的参数；h_S是实际签密者使用参数σ₁,R_s,U,T,L，计算得到的哈希值；R是包含实际签密者在内的所有发送者的参数R_i和R_S之和；S₁是包含实际签密者私钥等参数计算得到的值，是密文的一部分；S₂是使用第六种哈希函数计算得到的参数值，是密文的一部分；

4.解签密；

输入密文C、系统公开参数params、接收者身份信息L'＝{ID'₁,ID'₂,…,ID'_n}，每个接收者ID'_j使用自己的私钥D'_j进行如下计算来解密密文C；

①计算

δ_j＝T₁+x_jT₂+…+(x_j ^n-1mod q)T_n ⑹

其中x_j＝H₃(ID'_j)；

②将⑹式的值代入下式，计算

通过公式⑴来还原对称密钥θ'＝H₂(ω')，并进行解密计算M'＝D_θ'(σ₁)，得到一个消息值M'；

将得到的消息M'带入公式⑶中，检查σ₂＝H₅(R,ω',M')是否成立，若成立，则认为M'＝M；若不成立，则输出“⊥”，说明签名值是无效的；σ₂是使用参数R,ω,M和第五种哈希函数计算得到的签名值，是密文的一部分；δ_j是使用密文计算得到的解密参数；ω'是计算对称密钥的参数；

5.公开验证；

接收者或者任意的第三方获得密文后，通过该算法验证发送者身份的可靠性；

①对于i＝1,…,t，通过公式⑵，恢复出h_i＝H₄(σ₁,R_i,U,T,L)，计算H＝H₆(σ₁,R,T,L)；

②利用⑷式、⑸式中得到的S₁和S₂判断⑻式、⑼式是否成立：

若⑻式、⑼式皆成立，则认为签名者身份合法、可靠，签密值具有真实性；否则认为该签密无效。